為了應(yīng)對服務(wù)器在虛擬化環(huán)境中不斷涌現(xiàn)的安全挑戰(zhàn)，在統(tǒng)一資源池建設(shè)后積極拓展云計算業(yè)務(wù)，廣東省電信公司(以下簡稱：廣東電信)攜手趨勢科技，通過支持最新“多租戶”安全管理的趨勢科技服務(wù)器深度安全防護系統(tǒng)(Deep Security)，以及獨有的“無代理”防毒技術(shù)部署，完成了安全可信的業(yè)務(wù)網(wǎng)統(tǒng)一資源池建設(shè)，真正發(fā)揮了VMware ESX平臺虛擬化性能與成本優(yōu)勢。

難題一：傳統(tǒng)安全域技術(shù)支撐無力

據(jù)了解，廣東電信作為中國電信集團公司全國最大的省級公司，是最早按照集團技術(shù)規(guī)范要求進行統(tǒng)一虛擬化資源池建設(shè)的公司之一。目前業(yè)務(wù)網(wǎng)資源池已具備三個機房，共配置3個VMware云計算數(shù)據(jù)中心共5個計算集群，2000臺虛擬機，計劃未來3年內(nèi)擴展到20000臺虛擬機。但在統(tǒng)一資源池建設(shè)初期，IT運維管理部門就發(fā)現(xiàn)一個必須要解決的安全問題。

據(jù)廣東電信IT運維管理部門的梁先生介紹，由于傳統(tǒng)IDC環(huán)境采用邊界分離、安全隔離的方式，可以建立安全域進行安全加固。而統(tǒng)一資源池使用了大量的虛擬化技術(shù)，虛擬網(wǎng)絡(luò)層的交互數(shù)據(jù)直接在VMware ESXi主機內(nèi)部完成。這種現(xiàn)象直接導(dǎo)致了原來部署的傳統(tǒng)安全產(chǎn)品(如IPS、IDS等)，無法實時監(jiān)控到虛擬網(wǎng)絡(luò)內(nèi)部的潛在威脅，為全局應(yīng)用下的安全運行帶來了極大的風(fēng)險。而由于缺少專門針對虛擬化防毒和消除威脅的配套方案，這已經(jīng)影響了統(tǒng)一資源池項目在廣東電信乃至整個集團內(nèi)部的推進步伐。

難題二：防毒掃描風(fēng)暴致使ROI未達預(yù)期

廣東電信數(shù)據(jù)中心利用VMware虛擬化技術(shù)建立統(tǒng)一的資源池，可以實現(xiàn)資源與項目分離，推進業(yè)務(wù)平臺集中部署、集約運營，逐步實現(xiàn)資源整合。然而，原有服務(wù)器設(shè)備在遷移至云資源池后，其上部署的傳統(tǒng)防毒防病毒方案(需要安裝代理客戶端)將產(chǎn)生“防毒掃描風(fēng)暴(AV Storms)”。這是因為，傳統(tǒng)防病毒方案與虛擬化底層兼容性極低，當(dāng)虛擬機均采用這些技術(shù)時，會造成搶占CPU、內(nèi)存、存儲I/O和網(wǎng)絡(luò)擁堵的現(xiàn)象，直接造成業(yè)務(wù)訪問延遲或超時。對于這種情況，運營商只能通過降低虛擬化密度或卸載防病毒軟件解決，不管采用哪種方案，對資源池的ROI及安全都帶來負面的影響，致使預(yù)期收益不達標。

【傳統(tǒng)防毒系統(tǒng)在虛擬化環(huán)境中產(chǎn)生“防毒掃描風(fēng)暴(AV Storms)”】

難題三：多用戶管理不能“水中望月”

在數(shù)據(jù)中心未升級至虛擬化架構(gòu)之前，各個業(yè)務(wù)部門的系統(tǒng)均擁有獨立的運行環(huán)境，邊界清晰，因而可以擁有獨立自主的安全管理模式及系統(tǒng)，互不干擾。但當(dāng)多個部門的系統(tǒng)均納入統(tǒng)一資源池中運行時，各個業(yè)務(wù)系統(tǒng)之間的邊界變得模糊，傳統(tǒng)安全方案無法支持各部門安全事務(wù)獨立管理的模式，打亂了原有沿用多年的管理模式，極大的阻礙了統(tǒng)一資源池的推進。同時，由于未來統(tǒng)一資源池的規(guī)模會迅速擴張，如果把全省所有業(yè)務(wù)部門的安全事務(wù)集中交付給運維部門進行管理，必然會超出IT運維管理的承受極限。

【虛擬化資源池中存在的集中安全管理和授權(quán)問題】

因此，廣東電信用戶迫切希望安全方案能夠參考VMware的軟件定義數(shù)據(jù)中心(vCloud SDDC)方案，將數(shù)據(jù)中心安全策略成功擴展到云端，在安全管理上實現(xiàn)“多租戶”管理。

“無代理”防護獲認可 “多租戶”承載云計算未來

為了確保公司的業(yè)務(wù)順利遷移至資源池，廣東電信開始廣泛尋找最佳的解決方案。廣東電信對多家廠商的虛擬化安全防護產(chǎn)品進行了全面評估及測試，但發(fā)現(xiàn)這些廠家的方案均是傳統(tǒng)的、基于操作系統(tǒng)的解決方案，不能全面解決之前遇到的各種問題。而在一次與趨勢科技的技術(shù)交流中得知，有別于其他傳統(tǒng)的安全解決方案，趨勢科技Deep Security 9能夠在VMWare ESXi平臺下提供目前最新的無代理防護方案，直接把防護系統(tǒng)部署在ESXi虛擬化平臺底層，可以有效地解決之前遇到的各種問題。

【趨勢科技Deep Security有效解決了“安全管理多租戶”等一系列虛擬化環(huán)境的安全問題】

為了驗證趨勢科技Deep Security 9的技術(shù)可行性，廣東電信邀請趨勢科技參與了虛擬化平臺安全防護方案的測試。趨勢科技也緊緊抓住了這個機會，利用以VMware vShield Endpoint及VMSAFE兩套安全API為基礎(chǔ)的虛擬化底層防護技術(shù)，有效解決了“安全管理多租戶”等一系列虛擬化環(huán)境的安全問題。經(jīng)過深入細致的測試，用戶從以下幾方面了對趨勢科技Deep Security無代理功能得到了充分認可，其中包括：

Ø 通過Deep Security的虛擬化底層防護技術(shù)，有效解決了ESXi環(huán)境下定時全盤殺毒的防毒掃描風(fēng)暴問題，使統(tǒng)一資源池虛擬化密度提升2.5倍。

Ø 通過 Deep Security 9的多租戶技術(shù)，有效解決了多業(yè)務(wù)部門安全管理分權(quán)的難題，加快了統(tǒng)一資源池推廣進程。

Ø 通過Deep Security的虛擬化底層訪問控制技術(shù)，有效解決了虛擬層無法劃分安全域的難題，并使統(tǒng)一資源池的安全合規(guī)性可以符合集團的安全規(guī)范。

資源池安全管理“三大難題”已解 云端業(yè)務(wù)蓄勢待發(fā)

目前，廣東電信還處在統(tǒng)一資源池建設(shè)的嘗試階段，一旦突破技術(shù)和管理上的難關(guān)，虛擬服務(wù)器數(shù)量將會呈爆炸式增長趨勢，更多的業(yè)務(wù)、更多的應(yīng)用將直接匯聚于統(tǒng)一資源池中。而最新的Deep Security 9可以提供更完整的入侵防護和性能監(jiān)控程序，并在一個無需安裝代理程序的高性能平臺上實現(xiàn)了動態(tài)的虛擬補丁功能，它大幅降低了數(shù)據(jù)中心和私有云環(huán)境的運維負荷。

廣東電信在充分驗證了趨勢科技Deep Security的先進技術(shù)后，最終確定在現(xiàn)有虛擬化平臺上全面部署了Deep Security無代理防護解決方案。廣東電信的梁先生表示：“使用趨勢科技專門對虛擬化安全環(huán)境開發(fā)的Deep Security，并利用其獨有的‘無代理’和‘多租戶’安全防護方案，能夠有效解決統(tǒng)一資源池安全管理上的三大難題，掃除了阻礙統(tǒng)一資源池發(fā)展的安全障礙，為廣東電信統(tǒng)一資源池建設(shè)提供了有力的保障和強大的支持!”